Exchange Server : nouvelle alerte aux failles critiques

Clément Bohic,
Update Tuesday failles critiques Exchange Server

L’Update Tuesday d’avril comprend des correctifs pour quatre failles – dont deux critiques – qui touchent Exchange Server. Petit rappel de contexte.

Ce 13 avril, Microsoft a effectué sa livraison mensuelle de correctifs. Le groupe américain a colmaté plus d’une centaine de vulnérabilités dans ses produits. Mais il attire l’attention sur quatre failles en particulier. Leur point commun : elles touchent Exchange Server.

Pourquoi une telle mise en avant ? Parce qu’on a déjà découvert, il n’y a pas longtemps, des fragilités dans les serveurs Exchange. Fragilités suffisamment importantes pour faire l’objet de correctifs hors du cycle mensuel. Non seulement de par leur criticité. Mais aussi du fait de leur exploitation effective, vraisemblablement par de nombreux groupes cybercriminels. Dont le dénommé Hafnium, dit à la solde de l’État chinois.

Les États-Unis sont apparus comme la principale cible. Mais on a aussi recensé des victimes en Europe. L’ANSSI est allée jusqu’à s’exprimer publiquement sur le sujet, par la voie de son directeur Guillaume Poupard. L’agence française a estimé à environ 15 000 le nombre de serveurs compromis dans le pays.

La compromission s’est principalement traduite par l’injection de portes dérobées, sous la forme de webshells. Divers malwares se sont engouffrés dans la brèche. Dont des rançongiciels.

Aux États-Unis, le FBI a pu constater, fin mars, que des centaines de serveurs restaient vulnérables. Il a pris l’initiative – et obtenu l’autorisation – de se connecter à ces serveurs pour retirer les webshells. L’opération a démarré la semaine passée. Les organisations concernées n’ont été (ou ne seront) averties qu’a posteriori. La démarche rappelle celle que les autorités françaises avaient adoptée en 2019 pour tenter de démanteler Retadup. Ce botnet destiné au minage de cryptomonnaies reposait sur une infrastructure localisée en grande partie dans l’Hexagone. Il présentait une erreur de conception qui permettait de le supprimer sans injecter de code.

FBI, NSA… Exchange Server surveillé comme le lait sur le feu

Qu’en est-il des quatre failles corrigées dans le cadre de l’Update Tuesday d’avril* ? On doit leur découverte à… la NSA. Microsoft affirme ne pas avoir de preuve d’exploitation. Mais invite à les patcher au plus vite, vu le contexte. En cas d’installation manuelle, on utilisera impérativement l’invite de commandes en mode administrateur. On s’assurera par ailleurs de disposer d’une mise à jour cumulative suffisamment récente. En l’occurrence, la dernière sur Exchange Server 2013 (CU23) et l’une des deux dernières sur les versions 2016 (CU19, CU20) et 2019 (CU8, CU9).

Deux de ces failles affichent un score de 9,8/10 sur l’échelle CVSS v3. Elles ouvrent la voie à l’injection distante de code, sans nécessiter d’authentification ni d’interaction utilisateur. Les deux autres, notées 8,8 et 9, ont des effets potentiels comparables. Mais l’une requiert un minimum de privilèges et l’autre ne peut se déclencher que sur un périmètre plus restreint.

* On aura noté que cet Update Tuesday élimine cinq failles zero-day. Trois peuvent entraîner une élévation de privilèges. Elles se trouvent dans Endpoint Mapper (qui permet aux clients RPC de déterminer le port assigné aux services RPC), dans ms-rest-nodeauth (bibliothèque pour l’authentification sur Azure) et dans le gestionnaire de fenêtres. Les deux autres affectent NTFS et l’installeur Windows. Elles peuvent respectivement engendrer un déni de service et l’exposition de données.

Illustration principale © Julien Eichinger – Fotolia